dedecms模版soft_add.phpSQL注入漏洞修复方法

您好，欢迎来到菜鸟吧源码网（www.cniao8.com）本站只做精品网站源码！

首页

菜鸟云

公告：本站资源均来源于互联网及会员投稿发布，所有资源仅供学习参考研究使用，请勿商用或其它非法用途，商用请购买正版，否则产生一切后果由用户自行承担！谢谢！

当前位置：主页 > 站长学堂 > dede教程 >

dedecms模版soft_add.phpSQL注入漏洞修复方法

时间：2020-04-20 11:00 作者：菜鸟吧浏览：次收藏挑错打印

dedecms的/member/soft_add.php中，对输入模板参数$servermsg1未进行严格过滤，导致攻击者可构造模版闭合标签，实现模版注入进行GETSHELL。

打开文件/member/soft_add.php，搜索（大概在154行）：

1$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";

替换为：

1if(preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) {
2$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
3}

本文标题：dedecms模版soft_add.phpSQL注入漏洞修复方法

本文地址：http://cs.cniaoba.com/12784.html

上一篇：/include/uploadsafe.inc.php dedecms注入漏洞修复方法

下一篇：dedecms common.inc.php SESSION变量覆盖导致SQL注入

本文标签：菜鸟吧源码方法修复漏洞 dedecms 模版注入 soft add.phpSQL

郑重声明：
本站所有内容均由互联网收集整理、网友上传，并且以计算机技术研究交流为目的，仅供大家参考、学习，不存在任何商业目的与商业用途。若您需要商业运营或用于其他商业活动，请您购买正版授权并合法使用。
我们不承担任何技术及版权问题，且不对任何资源负法律责任。
如无法下载，联系站长索要。
如有侵犯您的版权，请给我们来信：admin@cniao8.com，我们尽快处理。

织梦中{dede:channel}无法调用隐藏栏目